[发明专利]一种点击劫持的测试方法及装置

权利要求书

1.一种点击劫持的测试方法，其特征是，所述测试方法包括以下步骤：

创建HTTP会话，获取目标网页源代码，检查响应头中是否存在安全字段X-Frame-Options；

若不存在安全字段，则检查网页源代码中的标签，判断标签内是否存在iframe表单；

若存在iframe表单，则检索所述标签内是否存在button；

若否，则无点击劫持风险，若是，则提示存在点击劫持风险。

2.根据权利要求1所述的一种点击劫持的测试方法，其特征是，通过网络爬虫获取所述目标网页源代码，通过正则匹配检查是否存在安全字段。

3.根据权利要求1所述的一种点击劫持的测试方法，其特征是，所述检索所述标签内是否存在button的具体过程为：

定义按钮关键字，所述按钮关键字为button必用关键字；

查找网页源码中是否存在所述按钮关键字；

若存在，则存在button，否则不存在button。

4.根据权利要求1-3任一项所述的一种点击劫持的测试方法，其特征是，在提示存在点击劫持风险后，所述方法还包括步骤：

测试是否存在点击劫持漏洞。

5.根据权利要求4所述的一种点击劫持的测试方法，其特征是，所述测试是否存在点击劫持漏洞的具体过程为：

对当前网页的所有button进行白名单撞库测试，若所述所有button均在白名单内，则当前网页不存在点击劫持漏洞，否则当前网页存在点击劫持漏洞。

6.根据权利要求4所述的一种点击劫持的测试方法，其特征是，所述测试是否存在点击劫持漏洞的具体过程为：

对当前网页的所有button进行模拟点击测试，若所有button在模拟点击后均安全，则当前页面不存在点击劫持漏洞，否则当前网页存在点击劫持漏洞。

7.一种点击劫持的测试装置，其特征是，所述装置包括：

预测试模块，用于获取目标网页的源代码，依次判断是否存在安全字段X-Frame-Options、iframe表单和button，根据判断结果确定是否进行漏洞测试；

漏洞测试模块，用于对网页中的所有button进行漏洞测试，判断当前网页的点击劫持漏洞；

所述预测试模块包括：

第一预测试单元，用于检查响应头中是否存在安全字段，若是，则结束测试，若否，则转到第二预测单元；

第二预测试单元，用于判断标签内是否存在iframe表单，若否，则结束测试，若是，则转到第三预测单元；

第三预测试单元，用于判断标签内是否存在button，若否，则结束测试，若是，则转到漏洞测试模块。

8.根据权利要求7所述的一种点击劫持的测试装置，其特征是，所述漏洞测试模块包括：

白名单撞库测试单元，用于对当前网页的所有button进行白名单撞库测试，判断当前网页是否存在点击劫持漏洞。

9.根据权利要求7所述的一种点击劫持的测试装置，其特征是，所述漏洞测试模块包括：

模拟点击测试单元，用于对当前网页的所有button进行模拟点击操作，判断当前网页是否存在点击劫持漏洞。